在配電主站與配電終端之間,存量加密改造既保證了一定的安全性����,也可以提高數(shù)據(jù)的傳遞效率;利用這種加密方式���,可以實(shí)現(xiàn)對(duì)配電網(wǎng)終端的接入和對(duì)配電網(wǎng)主站的監(jiān)測(cè)����;同時(shí)���,為跨領(lǐng)域的數(shù)據(jù)共享提供一種安全可靠的機(jī)制���。
01應(yīng)用場(chǎng)景
應(yīng)國(guó)家電網(wǎng)的改造要求��,對(duì)許多運(yùn)行多年的老終端設(shè)備進(jìn)行加密傳輸���,原先的老終端基本都是明文傳輸,分光纖或無(wú)線兩種形式?��,F(xiàn)在為了進(jìn)行加密傳輸����,不更換終端的情況���,使用我們的加密模塊對(duì)數(shù)據(jù)進(jìn)行加密傳輸。
02主要原因
為了加強(qiáng)配電自動(dòng)化系統(tǒng)安全防護(hù)���,保障電力監(jiān)控系統(tǒng)的安全等對(duì)配電自動(dòng)化系統(tǒng)的安全防護(hù)做出了原則性規(guī)定?,F(xiàn)場(chǎng)配電終端主要通過(guò)光纖���、無(wú)線網(wǎng)絡(luò)等通信方式接入配電自動(dòng)化系統(tǒng)��,由于目前安全防護(hù)措施相對(duì)薄弱以及黑客攻擊手段的增強(qiáng)���,致使點(diǎn)多面廣����、分布廣泛的配電自動(dòng)化系統(tǒng)面臨來(lái)自公網(wǎng)或?qū)>W(wǎng)的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)����,進(jìn)而影響配電系統(tǒng)對(duì)用戶的安全可靠供電,同時(shí)�����,當(dāng)前國(guó)際安全形勢(shì)出現(xiàn)了新的變化�,攻擊者存在通過(guò)配電終端誤報(bào)故障信息等方式迂回攻擊主站,進(jìn)而造成更大范圍的安全威脅�。
03產(chǎn)品概述
國(guó)家電網(wǎng)公司物資采購(gòu)標(biāo)準(zhǔn)要求的基于數(shù)字證書(shū)的雙向認(rèn)證技術(shù),對(duì)稱密碼算法的數(shù)據(jù)加密和消息認(rèn)證技術(shù)的加密模塊����。防護(hù)模塊與配網(wǎng)終端產(chǎn)品(FTU、DTU)配套使用���,完成終端與認(rèn)證網(wǎng)關(guān)之間的雙向身份認(rèn)證�����、終端與主站之間的雙向身份認(rèn)證��,終端證書(shū)管理等功能�。配合其維護(hù)軟件可以防護(hù)模塊的參數(shù)配置、上召���、下載���、報(bào)文查看監(jiān)視、查看SOE 事項(xiàng)等功能��。
現(xiàn)有存量或是已投運(yùn)接入Ⅰ區(qū)系統(tǒng)的配電終端和接入Ⅲ區(qū)系統(tǒng)的配電終端數(shù)量占據(jù)了大部分�,若要滿足配電終端的安全防護(hù)等級(jí),需要對(duì)存量或是已投運(yùn)配電終端外接內(nèi)嵌安全芯片的配電加密盒���,主要的功能:
·雙向身份認(rèn)證
·數(shù)據(jù)加密功能
·數(shù)據(jù)遠(yuǎn)傳或是轉(zhuǎn)發(fā)功能
04方案結(jié)構(gòu)圖
串口101�,改造前后對(duì)比
改造前:主站通過(guò)TCP通道下發(fā)報(bào)文給模塊���,模塊轉(zhuǎn)成串口數(shù)據(jù)透?jìng)鹘o終端。
改造后:主站通過(guò)TCP通道下發(fā)密文給模塊�,模塊解密后再轉(zhuǎn)成串口數(shù)據(jù)給終端。反之���,終端的明文通過(guò)串口給模塊�����,模塊加密后再通過(guò)TCP給主站���。
網(wǎng)口104����,改造前后對(duì)比
改造前:無(wú)線模塊透?jìng)?/p>
由無(wú)線模塊插卡上網(wǎng)��,并映射端口給終端的IP��。主站通過(guò)SIM卡的IP和端口直接與終端建立TCP連接�����,進(jìn)行數(shù)據(jù)交互�。
改造后:加解密傳輸
主站通過(guò)SIM卡IP和端口與模塊的TCP服務(wù)器建立連接(通道1)0,模塊通過(guò)局域網(wǎng)與終端的TCP服務(wù)器建立連接(通道2)��。
解密過(guò)程:主站通過(guò)通道1下發(fā)加密報(bào)文給模塊���,模塊進(jìn)行解密后變成明文����,通過(guò)通道2把明文下發(fā)給終端。
加密過(guò)程:終端把明文的報(bào)文通過(guò)通道2給模塊�����,模塊進(jìn)行加密后�����,把密文從通道1發(fā)往主站�。
05系統(tǒng)概述
DTU是配電自動(dòng)化的最末端監(jiān)控設(shè)備,DTU通過(guò)串口或者網(wǎng)口和無(wú)線模塊相連����,通過(guò)電力APN無(wú)線專網(wǎng)與電力中心進(jìn)行互聯(lián)互通,實(shí)現(xiàn)了電力中心遠(yuǎn)程監(jiān)控前端DTU的目的�。
前端:DTU是配電自動(dòng)化的終端部分,執(zhí)行者采集匯報(bào)以及配網(wǎng)的職能�,通過(guò)愛(ài)陸通AD7028與配電中心實(shí)現(xiàn)對(duì)接。
通信:愛(ài)陸通AD7028通過(guò)4G無(wú)線物聯(lián)與配電中心數(shù)據(jù)互通��,并對(duì)數(shù)據(jù)進(jìn)行加解密�����。
后臺(tái):配電中心通過(guò)互聯(lián)網(wǎng)對(duì)前端所有DTU的信息和狀態(tài)進(jìn)行統(tǒng)一整理分析����,進(jìn)而采取相應(yīng)的措施。
06相關(guān)產(chǎn)品及現(xiàn)場(chǎng)實(shí)圖
愛(ài)陸通工業(yè)無(wú)線路由器-AD7028
·SA/NSA雙模5G,提供4G/5G全網(wǎng)通高速網(wǎng)絡(luò)服務(wù)
·單網(wǎng)口,雙串口�、雙卡雙待、GPS/北斗定位����、Lora等
·支持電力101、104���、南網(wǎng)/國(guó)網(wǎng)硬件加密�����、電力1.4/1.8GHz專網(wǎng)
·支持IPSEC�����、L2TP����、PPTP��、openVPN、GRE�、GRETAP、DMVPN等多種VPN協(xié)議
·電力通信管理機(jī),協(xié)議網(wǎng)關(guān),選配DNP3.0�����、IEC101/103/104���、IEC61850�����、DLT_645���、PLC協(xié)議等
·5~60VDC寬壓,工作溫度-40~+80oC�����、產(chǎn)品尺寸108.43x85x40.7mm
三口工業(yè)路由器/網(wǎng)關(guān)-AR7088H
·5G全網(wǎng)通����、SA/NSA雙模、兼容4G/3G/2G
·3路LAN(一路可為WAN)����、1路RS232/485
·可選雙卡、GPS����、北斗、電力加密��、公專一體�����、WIFI
·MQTT���、Modbus TCP��、OPC UA�����、Ntirp�、DTU功能
·IPSEC����、L2TP����、PPTP����、openVPN、GRE�、DMVPN等
·Linux系統(tǒng)、支持python�����、C++二次開(kāi)發(fā)
·9~35VDC(電力版9~60VDC)��、在線不通信1.4W�����,通信1.9W(12V)
·工作溫度-35~+75oC���、產(chǎn)品尺寸107x98x24mm
現(xiàn)場(chǎng)圖
電力環(huán)網(wǎng)柜
DTU配電柜
